авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 |   ...   | 11 | 12 || 14 | 15 |   ...   | 30 |

«Dr.Tom Shinder's Configuring ISA Server 2004 Dr. Thomas W. Shinder Debra Littlejohn Shinder SYNGRESS ...»

-- [ Страница 13 ] --

Установка клиента брандмауэра Существует несколько методов установки программного обеспечения клиента бранд мауэра:

с использованием SMB/CIFS-соединения с общим ресурсом на файловом сервере;

установка с применением групповых политик в среде с Active Directory;

установка без вмешательства пользователей с помощью сценариев;

установка с помощью SMS-сервера (Systems Management Server, сервер управле ния системами).

В этом разделе показано, как устанавливать клиент брандмауэра вручную. Пользо ватели, выбравшие этот метод установки программного обеспечения клиента бран дмауэра, должны быть локальными администраторами компьютера, на кото ром они устанавливают программное обеспечение. Например, если речь идет о ноутбуке, который также является членом корпоративного домена, нужно убедиться в том, что у пользователя ноутбука имеется локальная учетная запись, которая яв ляется членом группы администраторов. Необходимо, чтобы пользователь вышел из домена и зашел на локальный компьютер. Затем пользователь может установить соединение с общим ресурсом клиента брандмауэра на сетевом файловом серве ре. Пользователю, возможно, придется ввести сетевые верительные данные при соединении с файловым сервером, если учетная запись ноутбука, с которой пользо ватель в данный момент зарегистрировался в системе, не отображена на файло вом сервере или в службе Active Directory (при условии, что файловый сервер и пользователь являются членами одного домена Active Directory).

Все пользователи этого компьютера имеют доступ к программному обеспече нию клиента брандмауэра, после того как оно было установлено. Это означает, что пользователь может выйти из локальной учетной записи и войти вновь с домен ными верительными данными, продолжая пользоваться программным обеспечением клиента брандмауэра.

Если пользователям не разрешено быть членами группы администраторов на их локальных компьютерах, то нужно использовать один из методов автоматичес кой установки, который устанавливает программное обеспечение клиента бранд мауэра, прежде чем пользователь выполнит вход в систему. Для этого можно вос пользоваться установкой с применением групповых политик в среде с Active Directory или SMS-сервером.

При установке программного обеспечения клиента брандмауэра нужно учесть следующее:

394 ГЛАВА не следует устанавливать программное обеспечение клиента брандмауэра на компьютер брандмауэра ISA Server 2004;

не следует устанавливать программное обеспечение клиента брандмауэра на контроллер домена или другие сетевые серверы. Единственным исключением из этого правила является случай, когда нужно опубликовать сервер, который требует поддержки сложных протоколов. Например, многие игровые серверы требуют несколько первичных и вторичных соединений. В таком случае кли ент брандмауэра должен быть установлен на опубликованном сервере;

программное обеспечение клиента брандмауэра начинает работать сразу же после завершения установки;

клиента брандмауэра можно установить на базе любой версии Windows (за исключением Windows 95) при условии, что установлен Internet Explorer 5.0.

Для установки программного обеспечения клиента брандмауэра с общего ре сурса во внутренней сети выполните следующие действия:

1. Щелкните Start (Пуск), а затем Run (Выполнить).

2. В диалоговом окне Run (Запуск программы) введите \\FILESERVER\mspclnt\setup (где FILESERVER — имя брандмауэра ISA Server 2004) и щелкните ОК.

3. Щелкните Next (Далее) на странице Welcome to the Install Wizard for Micro soft Firewall Client (Вас приветствует мастер установки клиента брандмауэра Microsoft).

4. Щелкните Next (Далее) на странице Destination Folder (Путь установки).

5. На странице ISA Server Computer Selection (Выбор компьютера ISA Server) вы берите Connect to this ISA Server computer (Установить соединение с этим компьютером ISA Server) и введите remoteisa.msfirewall.org в текстовое поле под этой надписью. Щелкните Next (Далее).

6. Щелкните Install (Установить) на странице Ready to Install the Program (Ус тановка программы).

7. Щелкните Finish (Готово) на странице Install the Wizard Completed (Завер шение работы мастера установки).

8. В области уведомлений появится значок клиента брандмауэра (рис 5.9). Если имеется активное TCP или UDP-соединение с сетью, которая не является внут ренней сетью, то на значке будет зеленая стрелка вверх.

$10 47 AM Рис. 5.9. Значок клиента брандмауэра С ОВ Е Т V P N - кл ие нт ы м о г у т ус т а на в л ив ат ь пр ог р а м м но е о бес пе ч е н ие кл и ента бр а нд м а уэр а п ри с о ед и н е н ии с с ет ью с п о мо щ ью кл ие нтс ког о VP N подключения.

Типы клиентов ISA Server 2004 и автоматизация настройки клиентов Замечание о защите ISA Server Настройки, указанные при установке клиента брандмауэра, применяются ко всем учетным записям пользователя на компьютере клиента. Изменения, внесенные в диалоговое окно клиента брандмауэра на компьютере клиента брандмауэра после установки, применяются только к учетным записям пользо вателей, с которых выполнен вход в систему. Изменения не касаются других пользователей или приложений, работающих с системными учетными запи сями. Чтобы изменить настройки клиента брандмауэра для всех учетных записей после завершения установки, внесите изменения в файлы Common.ini и Manage men t.ini, расположенные в папке Documents and Settings\All Users\ Local Settings\Application Data\Microsoft\Firewall Client 2004. После измене ния файла Common.ini следует перезагрузить службу клиента брандмауэра (FwcAgent) на компьютерах на базе ОС Windows Server 2003, Windows XP, Windows 2000 и Windows NT. Нужно перезагрузить компьютер на базе ОС Windows 9x. Изменения, внесенные в файл Management.ini, не требуют пе резапуска службы или компьютера. Более подробно конфигурационные фай лы Management.ini и Common.ini рассматриваются далее в этой главе.

Конфигурирование клиента брандмауэра Программное обеспечение клиента брандмауэра можно настроить либо в консоли управления Microsoft Internet Security and Acceleration Server 2004, либо непосредственно на компьютере клиента брандмауэра. Изменения в настройках, выполненные в консоли управления Microsoft Internet Security and Acceleration Server 2004, применяются ко всем компьютерам клиента брандмауэра, а измене ния, выполненные на отдельном клиентском компьютере, применяются только к этому клиенту.

Варианты централизованной настройки на компьютере брандмауэра ISA Server Варианты централизованной настройки клиента брандмауэра находятся в консо ли управления Microsoft Internet Security and Acceleration Server 2004. Настрой ка клиента брандмауэра производится для каждой сети, настроенной на поддерж ку соединений клиентов брандмауэра. Клиенты брандмауэра могут выполнять со единения из:

сетей периметра;

внутренних сетей.

Все остальные типы сетей не поддерживают соединения клиентов брандмауэ ра. Если для сети разрешены соединения клиентов брандмауэра, то разрешены входящие соединения с портами TCP и UDP 1745 к интерфейсу, соединенному с этой сетью.

396 ГЛАВА Доступ к интерфейсу конфигурирования клиента брандмауэра можно получить с консоли управления Microsoft Internet Security and Acceleration Server 2004, развернув имя сервера, а затем развернув узел Configuration (Настройка). В узле Configuration (Настройка) щелкните узел Networks (Сети), а затем щелкните вклад ку Networks (Сети) на панели Details (Подробно). Правой кнопкой мыши щелк ните внутреннюю сеть и щелкните Properties (Свойства).

На вкладке Firewall Client (Клиент брандмауэра) установите флажок в поле Enable Firewall client support for this network (Разрешить поддержку клиента брандмауэра для этой сети), как показано на рис. 5.10. В разделе Firewall client configuration (Настройка клиента брандмауэра) введите имя компьютера бранд мауэра ISA Server 2004 в текстовое поле ISA Server name or IP address (Имя или IP-адрес ISA Server).

Vib Ьмш otrtlou ton m to ГшнЛ сШ сстпри»

Рис. 5.10. Диалоговое окно внутренних свойств Стандартная настройка предполагает использование компьютера (так называ емое NetBIOS-имя). Однако NetBIOS-имя следует заменить FQDN-именем (Fully Qualified Domain Name, полное имя домена) брандмауэра ISA Server 2004 Когда имя компьютера будет заменено на FQDN-имя, компьютеры клиента брандмауэра смо гут использовать службу DNS для корректного разрешения имени брандмауэра ISA Server 2004. Это позволит избежать одного из самых распространенных сбоев в работе клиента брандмауэра. Следует убедиться в том, что для этого имени имеет ся запись на DNS-сервере ВО внутренней сети. По умолчанию все интерфейсы на брандмауэре ISA Server 2004 автоматически регистрируют свои имена в DNS, но если DNS-сервер не поддерживает динамическое обновление, то придется вручную вво дить запись хоста (А) для брандмауэра ISA Server 2004.

Типы клиентов ISA Server 2004 и автоматизация настройки клиентов ПРИМЕЧАНИЕ Чаще всего при работе с клиентом брандмауэра админи страторы брандмауэра ISA Server 2004 сталкиваются с проблемами, свя занными с разрешением имен для брандмауэра ISA Server 2004. Если в сети нет DNS-сервера, следует использовать IP-адрес брандмауэра ISA Server 2004 в текстовом поле ISA Server name or IP address (Имя или IP-адрес ISA Server). Никогда не следует использовать имя по умолчанию, которое программное обеспечение вводит в это текстовое поле автоматически. Это часто становится причиной сбоев в работе клиента брандмауэра.

Настройки клиента Web-прокси приводятся в разделе Web browser configu ration on the Firewall client computer (Конфигурирование Web-браузера на компьютере клиента брандмауэра). Эти настройки автоматически конфигурируют Web-браузер в качестве клиента Web-прокси при установке клиента брандмауэ ра. Позже можно изменить эти настройки, тогда Web-браузеры автоматически обновят свои настройки.

Вариант Automatically detect settings (Автоматически обнаруживать настрой ки) позволяет Web-браузеру автоматически обнаруживать службу Web-прокси и кон фигурироваться на основании настроек, введенных на вкладке Web Browser (Web браузер) диалогового окна Internal Properties (Внутренние свойства). Следует от метить, что автообнаружение основывается на WPAD-записях (Web Proxy Auto Discovery, автобнаружение Web-прокси), размещенных в DNS или DHCP.

Вариант Use automatic configuration script (Использовать сценарий автома тической настройки) позволяет присваивать адрес файла РАС (Proxy Autoconfigura tion, автоконфигурация прокси) Web-браузеру. Затем Web-браузер установит соеди нение с указанным ресурсом или с ресурсом по умолчанию. Ресурсом по умолча нию является компьютер брандмауэра ISA Server 2004. Обратите внимание, что при использовании ресурса по умолчанию полученная информация совпадет с инфор мацией, которая была бы получена при настройке браузера на применение вари анта Automatically detect settings (Автоматически обнаруживать настройки).

Вариант Use default URL (Использовать URL по умолчанию) автоматически на страивает браузер на установку соединения с брандмауэром ISA Server 2004 для получения информации об автоматической настройке. Если нужно создать собствен ный файл РАС, который переписывает настройки в автоматически сгенерированном файле на брандмауэре ISA Server 2004, можно воспользоваться вариантом Use custom URL (Использовать определяемый пользователем URL). Более подробная информа ция о файле РАС и файлах автоматической настройки клиента прокси приводится в статье Using Automatic Configuration and Automatic Proxy (Использование ав томатической настройки и автоматического прокси) на сайте www.microsoft.com/ resources/documentation/ie/5/all/reskit/en-us/part5/ch21auto.mspx.

Вариант Use a Web Proxy server (Использовать сервер Web-прокси) позволяет настроить Web-браузер так, чтобы он использовал брандмауэр ISA Server 2004 в 398 ГЛАВА качестве своего Web-прокси, но при этом он не может воспользоваться возможно стями сценариев автоматического конфигурирования. Эта настройка обеспечивает улучшенную производительность Web-браузера по сравнению с конфигурацией клиента SecureNAT, но при этом нельзя воспользоваться настройками, содержа щимися в сценарии автоматического конфигурирования РАС. Наиболее важная настройка в сценарии автоматического конфигурирования включает имена и ад реса узлов, которые должны использоваться для прямого доступа. Поэтому следу ет избегать использования этого варианта за исключением тех случаев, когда нуж но использовать прямой доступ для того, чтобы обойти Web-прокси при установ ке соединения с выбранными Web-сайтами.

ПРИМЕЧАНИЕ Конфигурация клиента Web-прокси для поддержки прямого доступа позволяет обходить Web-прокси при установке соединения с выб ранными Web-сайтами. Некоторые Web-сайты не соответствуют интернет стандартам (например, сайты Java), и поэтому они не могут корректно ра ботать с серверами Web-прокси. Эти сайты можно настроить для прямого доступа, тогда клиентские компьютеры не будут пользоваться Web-прокси при установке соединения с этим сайтами, а будут применять альтернативные методы соединения с ними. Для того чтобы клиент использовал альтерна тивный метод соединения, клиентский компьютер должен быть настроен как клиент брандмауэра и/или клиент SecureNAT.

Щелкните вкладку Domains (Домены), как показано на рис. 511.

Рис. 5.11. Вкладка Domains (Домены) На вкладке Domains (Домены) указаны домены, при установке соединения с которыми компьютер клиента брандмауэра не будет использовать программное обеспечение клиента брандмауэра. Записи на вкладке Domains (Домены) равно Типы клиентов ISA Server 2004 и автоматизация настройки клиентов значны добавлению компьютеров из этих доменов к внутренней сети (или к сети, для которой настроены свойства клиента брандмауэра). Когда клиент брандмауэ ра устанавливает соединение с хостом, расположенным в одном из доменов, ука занных на вкладке Domains (Домены), программное обеспечение клиента бранд мауэра не используется, а компьютер клиента брандмауэра пытается установить со единение напрямую с хостом-адресатом.

Домены можно добавить, щелкнув кнопку Add (Добавить) и выбрав их из диа логового окна Domain Properties (Свойства домена), как показано на рис. 5.12.

Рис. 5.12. Диалоговое окно Domain Properties (Свойства домена) При указании домена можно использовать групповые символы. Если нужно ука зать отдельный компьютер, то достаточно ввести FQDN-имя этого хоста. Если необ ходимо добавить все хосты в отдельном домене, используется звездочка (*) в левой части FQDN-имени. Если нужно, чтобы клиент брандмауэра не применялся ни к каким доменам, следует просто ввести звездочку. После внесения записи щелкните ОК.

На вкладке Domains (Домены) нужно всегда вводить все домены внутренней сети, это объясняется тем, что прямые соединения с хостами, расположенными в одном домене, обычно разрешаются.

Например, если члены домена расположены в нескольких подсетях на одном сетевом интерфейсе, представляющем отдельную сеть на брандмауэре ISA Server 2004, то хостам в этой сети для соединения с другими хостами той же сети не нужно использовать брандмауэр ISA Server 2004. Это могло бы привести к ненужной на грузке на брандмауэр, к тому же в функции сетевого брандмауэра не входит осу ществление контроля таких соединений.

Включение поддержки унаследованного клиента брандмауэра/клиентов Winsock-прокси Клиент брандмауэра ISA Server 2004 использует новый и улучшенный протокол удаленного Winsock-прокси (Remote Winsock Proxy Protocol), который зашифро 400 ГЛАВА 5 _ вывает канал соединения между клиентом брандмауэра и службой брандмауэра ISA Server 2004. Это позволяет повысить безопасность, потому что верительные дан ные пользователя передаются на брандмауэр ISA Server 2004 в прозрачном режи ме, когда клиент брандмауэра выполняет запрос на исходящее соединение.

Однако также имеется возможность разрешить незашифрованные соединения клиента Web-прокси с брандмауэром ISA Server 2004. Это может дать время для обновления существующего клиента брандмауэра или клиентов Winsock Proxy 2. до программного обеспечения клиента брандмауэра ISA Server 2004.

Чтобы разрешить поддержку незашифрованных соединений клиента брандма уэра для действующих клиентов брандмауэра/Winsock-npoKCH, выполните следу ющие действия:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера, а затем разверните узел Configuration (Конфи гурация). Щелкните узел General (Общие).

2. В узле General (Общие) щелкните ссылку Define Firewall Client Settings (Оп ределить настройки клиента брандмауэра) на панели Details (Подробно).

3. В диалоговом окне Firewall Client Settings (Настройки клиента брандмауэра) щелкните узел Connection (Соединение). Установите флажок в поле Allow non encrypted Firewall client connections (Разрешить незашифрованные соеди нения клиента брандмауэра).

4. Щелкните Apply (Применить), а затем щелкните ОК.

5. Щелкните Apply (Применить), чтобы сохранить изменения и обновить поли тику брандмауэра.

6. Щелкните ОК в диалоговом окне Apply New Configuration (Применить новую конфигурацию).

Настройка клиента брандмауэра на стороне клиента У пользователей, на компьютерах которых установлено программное обеспечение клиента брандмауэра, имеется несколько вариантов настройки. Доступ к этим ва риантам можно получить, щелкнув правой кнопкой мыши значок клиента бранд мауэра на панели задач и щелкнув команду Configure (Настроить).

На вкладке General (Общие) (рис. 5.13) диалогового окна Microsoft Firewall Client for ISA Server 2004 (Клиент брандмауэра Microsoft для ISA Server 2004) ус тановите флажок в поле Enable Microsoft Firewall Client for ISA Server (Включить клиент брандмауэра Microsoft для ISA Server 2004).

В варианте Automatically detect ISA Server (Автоматически обнаруживать ISA Server) используется WPAD-запись на DHCP- или DNS-сервере для автоматическо го обнаружения местоположения брандмауэра ISA Server 2004, а затем для автома тического получения конфигурационной информации клиента брандмауэра.

Типы клиентов ISA Server 2004 и автоматизация настройки клиентов Рис. 5.13. Диалоговое окно Firewall Client Configuration (Конфигурация клиента брандмауэра) На рис. 5-14 показан результат нажатия кнопки Detect Now (Обнаружить сейчас).

Firewall Client is detecting ISA Server Рис. 5.14. Диалоговое окно Detecting ISA Server (Обнаружение ISA Server) Важно помнить о том, что автообнаружение возможно, только если на DHCP или DNS-сервере была настроена запись протокола WPAD. Более подробно о том, как настраивать записи протокола WPAD, рассказывается далее в этой главе.

Еще имеется вариант Manually select ISA Server (Выбрать ISA Server вручную), позволяющий ввести IP-адрес или DNS-имя брандмауэра ISA Server 2004, а затем щелкнуть кнопку Test Server (Протестировать сервер), чтобы найти брандмауэр.

Когда вводится IP-адрес, клиент отправляет запрос на порт TCP 1745 и получает информацию об автоматическом конфигурировании напрямую с брандмауэра ISA Server 2004. В информацию об автоматическом конфигурировании включается имя брандмауэра ISA Server 2004, которое приводится в диалоговом окне Detecting ISA Server (Обнаружение ISA Server).

402 ГЛАВА Запись монитора сети, представленная на рис. 5.1б, показывает, что соединение выполняется клиентом брандмауэра, а часть информации, полученной клиентом бранд мауэра, показана на панели шестнадцатеричного декодирования (Hex decode pane).

Рис. 5.16. Отслеживание пакетов клиента брандмауэра Щелкните вкладку Web Browser (Web-браузер). Здесь имеется вариант Enable Web browser automatic configuration (Включить автоматическое конфигуриро вание Web-браузера). Этот вариант извлекает информацию из конфигурации Web браузера, ранее настроенной в панели управления Microsoft Internet Security and Acceleration Server 2004. Пользователи могут нажать кнопку Configure Now (Вы полнить настройку сейчас), которая позволяет пользователям, случайно изменив шим настройки браузера, вернуться к исходной оптимальной конфигурации од ним нажатием кнопки. Поэтому не следует убирать значок клиента брандмауэра из области уведомления.

СОВЕТ Можно убрать значок клиента брандмауэра из области уведом ления, установив флажок в поле Hide icon in notification area when connected to ISA Server (Скрыть значок в области уведомления при соединении с ISA Server). Этот процесс можно автоматизировать, добавив в файл manage ment. ini, расположенный в папке \Documents and Settings\user_name\Local Settings\Application Data\Microsoft\Firewall Client 2004, следующую запись [Traylcon] TrayIconVisualState= Можно использовать сценарий входа в систему для размещения этого файла в каталоге пользователя. Более подробная информация о настройках кон фигурационного файла клиента брандмауэра представлена в следующем разделе.

Типы клиентов ISA Server 2004 и автоматизация настройки клиентов Файлы конфигурации клиента брандмауэра Программное обеспечение клиента брандмауэра принимает централизованные настройки, установленные на компьютере ISA Server 2004. Эти настройки опреде ляют такие параметры, как автоматическая конфигурация клиентов Web-прокси, имя ISA Server и автоматическое обнаружение ISA Server. После установки програм много обеспечения клиента брандмауэра ISA Server обновляет эти настройки кли ента всякий раз, когда компьютер клиента перезапускается, и каждые шесть часов после выполнения начального обновления. Эти настройки также обновляются всякий раз, когда пользователь нажимает кнопку Test Server (Протестировать сервер).

Помимо этих настроек ISA Server автоматически обновляет на клиенте бранд мауэра информацию об IP-адресах, которые клиент должен считать локальными (имеется в виду «внутренняя сеть» для этого конкретного клиента брандмауэра).

Практически для всех приложений Winsock подходит стандартная конфигура ция клиента брандмауэра, и в нее не нужно вносить никаких изменений. Однако иногда бывают ситуации, когда нужно изменить стандартные настройки. Клиента брандмауэра можно настроить для каждого пользователя и для каждого компью тера на компьютере клиента брандмауэра, путем внесения изменений в ini-файлы, установленные на компьютере клиента брандмауэра.

Для всех компонентов после установки можно изменить их стандартные настройки.

Новые настройки вступят в силу только после обновления конфигурации клиента.

Файлы конфигурации Информация о конфигурации хранится в группе файлов, которые устанавливаются на компьютере клиента брандмауэра. Когда производится установка клиента брандмауэра, на компьютере клиента брандмауэра создаются следующие файлы (они также показаны на рис. 5.17):

файл common.ini, определяющий общую конфигурацию для всех приложений;

файл management.ini, определяющий настройки управления клиентом бранд мауэра.

Рис. 5.17. Файлы конфигурации клиента брандмауэра 404 ГЛАВА Эти файлы создаются для всех пользователей, выполняющих вход на компью тер, могут создаваться для каждого пользователя компьютера по отдельности. На стройки для каждого пользователя замещают общие настройки, которые применя ются ко всем пользователям одного и того же компьютера клиента брандмауэра.

Эти файлы создаются в разных местах в зависимости от операционной системы.

К сожалению, у нас есть только информация о том, где расположены эти файлы на компьютере на базе ОС Windows XP. Для конкретной версии Windows можно определить расположение этих файлов с помощью функции Search (Поиск).

В компьютерах на базе ОС Windows XP эти файлы расположены в папке:

\Documents and Settings\All Users\\Local Settings\Application Data\Microsoft\Firewall Client 2004;

\Documents and Settmgs\uMa_nojib3oeamejia\Loc2L\ Settings\Application Data\Micro soft\Firewall Client 2004.

Помимо этих файлов пользователь может создать еще один файл под названием application.ini, содержащий информацию о конфигурации конкретных приложений.

Существует порядок предшествования, определяющий, как файлы configuration.ini обрабатываются клиентом брандмауэра:

1. Первыми обрабатываются ini-файлы в папке пользователя. Все настройки из этих файлов используются клиентом брандмауэра для определения поведения кли ента брандмауэра и приложений, зависящих от клиента брандмауэра.

2. Затем клиент брандмауэра обращается к папке Documents and Settings\All Users. Применяются все дополнительные конфигурационные настройки. Нсли указанная настройка противоречит настройкам, установленным для конкретного пользователя, то брандмауэр ее игнорирует. Настройки в папке пользователя всегда обрабатываются первыми.

3. Клиент брандмауэра обнаруживает компьютер ISA Server, с которым он должен установить соединение, и получает настройки с компьютера брандмауэра ISA Server 2004.

4. После получения настроек с брандмауэра ISA Server 2004, клиент брандмауэра проверяет настройки уровня сервера. Применяются все конфигурационные настройки, указанные на ISA Server. Если указанная настройка противоречит настройке, указанной для конкретного пользователя или компьютера, то бранд мауэр ее игнорирует.

Расширенные настройки клиента брандмауэра Пользователь на компьютере клиента брандмауэра может создавать и изменять файлы конфигурации клиента брандмауэра и настраивать поведение клиента бранд мауэра. Файл common.ini, который создается при установке клиента брандмауэра, содержит общую конфигурацию для всех приложений. Файл application.ini кон тролирует настройки на клиентском компьютере.

Типы клиентов ISA Server 2004 и автоматизация настройки клиентов Эти файлы могут быть созданы для всех клиентов, выполняющих вход на ком пьютер, и для отдельных пользователей на одном компьютере. Настройки отдель ных пользователей имеют больший приоритет, чем настройки, применяемые ко всем пользователям компьютера. Также можно воспользоваться консолью управления Microsoft Internet Security and Acceleration Server 2004 для изменения настроек клиента брандмауэра.

В табл. 5.6 показаны записи, которые можно включить при настройке прило жений клиента брандмауэра. В первом столбце приводятся ключи, которые можно добавить в файлы конфигурации. Второй столбец описывает значения, которые можно присвоить этим ключам.

Не следует забывать о том, что некоторые настройки можно установить толь ко на компьютере клиента брандмауэра, а не в консоли управления Microsoft In ternet Security and Acceleration Server 2004. Табл. 5.6. Настройки файла конфигурации клиента брандмауэра Запись Описание Указывается имя компьютера ISA Server, с которым должен Serve rName установить соединение клиент брандмауэра Возможные значения: 0 и 1. Если установлено значение 1, приложение Disable клиента брандмауэра отключается для конкретного приложения клиента Возможные значения: 0 и 1. Если установлено значение 1, клиент брандмауэра отключается для конкретного приложения клиента. Применяется только к клиенту брандмауэра для ISA DisahlcEx Server 2004. Если эта запись задана, то запись Disable не учитывается (Устанавливается только на компьютере клиента брандмауэра).

Возможные значения: 0 и 1. При установке значения 1, приложение клиента брандмауэра автоматически находит Autodetection N компьютер ISA Server, с которым оно должно установить соединение Возможные значения: L или R. По умолчанию десятичное представление с разделительными точками или имена доме нов Интернета перенаправляются на компьютер ISA Server, a meResol u do n чтобы пройти разрешение имен, а все остальные имена раз решаются на локальном компьютере. При установке значения R, все имена перенаправляются на компьютер ISA Server для разрешения. При установке значения L, все имена разреша ются на локальном компьютере Указывается локальный TCP-порт, список или диапазон Указывается локальный UDP-порт, список или диапазон Указывается удаленный TCP-порт, список или диапазон LocalBindTcpPorts Указывается удаленный UDP-порт, список или диапазон LocalBindUdpPorts Указывается TCP-порт, список или диапазон для всех портов, Rem o te B i ndTcp Ports которые должны принимать несколько подключений Re mo teB indUdpPor ts (см. след. стр.) Se rve rB in dTcpPorts ГЛАВА. (окончание) Табл.

.

Запис Описание ь Persistent Возможные значения: 0 и 1. При установке значения 1 на компьютере ISA Server сохраняется определенное состояние сервера при остановке и перезапуске службы и если сервер не отвечает. Если сервер не отвечает, клиент попытается вос становить состояние прослушивающих сокетов после переза пуска сервера ForceCredentials (Устанавливается только на компьютере клиента брандмауэ ра). Используется при запуске службы Windows или серверно го приложения в качестве приложения клиента брандмауэра.

Если значение установлено на 1, то для проверки подлинности используются альтернативные верительные данные поль зователя, хранящиеся на компьютере, на котором запущена эта служба. Верительные данные пользователя хранятся на клиентском компьютере с помощью приложения Credtool.exe, поставляемого вместе с программным обеспечением клиента брандмауэра. Верительные данные пользователя должны со ответствовать учетной записи пользователя, подлинность ко торой может быть проверена ISA Server. Учетная запись поль зователя обычно не имеет срока действия. Иначе пришлось бы обновлять верительные данные пользователя всякий раз, когда срок действия учетной записи заканчивается NameResolution Возможные значения: L (по умолчанию), Р или Е. Использует ForLocalHost ся для того, чтобы указать, как разрешается локальное имя компьютера (клиента) при вызове gethostbyname API. Имя компьютера LocalHost разрешается при вызове функции Win sock API gethosbyname с помощью строки LocalHost, пустой строки или нулевого указателя строки. Приложения Winsock вызывают gethostbyname (LocalHost), чтобы узнать свои ло кальные IP-адреса и отправить их на Интернет-сервер. Если установлено значение L, gethostbynameO возвращает IP-адреса компьютера локального хоста.

Если установлено значение Р, gethostbynameO возвращает только внешние IP-адреса ком пьютера ISA Server — IP-адреса, не входящие в таблицу ло кальных адресов ControlChannel Возможные значения: Wsp.udp или Wsp.tcp (стандартное зна чение). Указывается тип используемого контрольного канала Секреты ISA Server Файлы конфигурации клиента брандмауэра могут оказаться очень полезны ми В нескольких случаях, один из которых — публикация серверов с помо щью программного обеспечения клиента брандмауэра и файла конфигура ции. Например, с помощью ISA Server 2000 и Proxy Server 2.0, можно было создать файл wspcfg.ini на опубликованном сервере и разместить этот файл Типы клиентов ISA Server 2004 и автоматизация настройки клиентов в том же каталоге, что и приложение, которое нужно было опубликовать. Это позволяет публиковать сложные протоколы, не пользуясь фильтрами прило жений. Однако для ISA Server 2004 не существует документации по созданию аналогичного файла wspcfg.ini.

Настройка клиента брандмауэра на брандмауэре ISA Server Файлы конфигурации, расположенные на компьютере локального клиента бранд мауэра, во время написания данной книги остаются не совсем понятными, а цен трализованная настройка клиента брандмауэра, выполняемая в консоли управле ния Microsoft Internet Security and Acceleration Server 2004, остается такой же полезной, как и в брандмауэре ISA Server 2000. Доступ к интерфейсу централизо ванной настройки клиента брандмауэра можно получить, открыв консоль управ ления Microsoft Internet Security and Acceleration Server 2004, а затем развер нув имя сервера и узел Configuration (Настройка). Щелкните узел General (Об щие), а затем щелкните ссылку Define Firewall Client Settings (Определить настройки клиента брандмауэра) (см. рис. 518).

Define Firewall Client Settings Рис. 5.18. Ссылка Define Firewall Client Settings (Определить настройки клиента брандмауэра) Щелкните вкладку Application Settings (Настройки приложения). Список на строек встроенного приложения клиента брандмауэра показан на рис. 5-19 Рис. 5.19. Диалоговое окно Firewall Client Settings (Настройки клиента брандмауэра) 408 ГЛАВА Эти настройки применяются ко всем клиентам брандмауэра, которые получа ют свои настройки с брандмауэра ISA Server 2004. Например, имеется настройка outlook Disable 0 (показана настройка outlook Disable 1). Эта настройка указывает программному обеспечению клиента брандмауэра не использовать настройки кли ента брандмауэра для приложения Microsoft Outlook. Эта важная настройка позво ляет клиенту Outlook получать правильные уведомления о новой почте Одна особая функция настроек клиента брандмауэра состоит в том, чтобы бло кировать приложения. Например, нужно запретить пользователям применять при ложение kazaa.exe. Чтобы заблокировать это приложение, можно использовать ключ Disable. Для этого выполните следующие действия:

1. В диалоговом окне Firewall Client Settings (Настройки клиента брандмауэра) на вкладке Application Settings (Настройки приложения) щелкните New (Новый).

2. В диалоговом окне Application Entry Settings (Настройки записи приложения) введите Kazaa (Без расширения файла) в текстовое поле Application (Прило жение). Выберите Disable (Запретить) из выпадающего списка Key (Ключ). Вы берите значение 1 из списка Value (Значение).

3. Щелкните ОК.

4. В списке Settings (Установки) появится новая запись kazaa. Щелкните Apply (Применить), а затем ОК.

5. Щелкните Apply (рис. 5-20), чтобы сохранить изменения и обновить политику брандмауэра.

Discard I To save changes and update the configuration, click Apply.

Рис. 5.20. Применение изменений к конфигурации брандмауэра 6. Щелкните ОК в диалоговом окне Apply New Configuration (Применить новую конфигурацию).

Теперь все пользователи, у которых установлено программное обеспечение клиента брандмауэра, не смогут пользоваться приложением kazaa.exe.

ПРЕДУПРЕЖДЕНИЕ Пользователи могут избежать использования подоб ной конфигурации, переименовав исполняемый файл. Для того чтобы пол ностью заблокировать приложение kazaa, нужно настроить фильтр защи ты HTTP и ограничить доступ пользователей протоколом HTTP или купить фильтр приложения стороннего производителя, например Akonix L7, для про дукта ISA Server (www.akonix.com), который может определять одноранго вые приложения.

Типы клиентов ISA Server 2004 и автоматизация настройки клиентов Клиент Web-прокси ISA Server В качестве клиента Web-прокси может выступать любой компьютер, браузер кото рого настроен на использование брандмауэра ISA Server 2004 в качестве своего сервера Web-прокси. Для того чтобы настроить компьютер в качестве клиента Web прокси, не нужно устанавливать на нем никакое новое программное обеспечение.

Единственное требование состоит в том, чтобы настроить браузер на клиентском компьютере на использование брандмауэра ISA Server 2004 в качестве его Web прокси. Web-браузер является не единственным приложением, которое может быть настроено в качестве клиента Web-прокси. Другие приложения, например програм мы обмена сообщениями или клиенты электронной почты, также могут быть на строены в качестве клиентов Web-прокси.

Далее перечислены преимущества конфигурации клиента Web-прокси:

улучшенная производительность конфигурации клиента брандмауэра и клиен та SecureNAT для обеспечения Web-доступа;

способность использовать сценарий автоматического конфигурирования, что бы обходить сайты с помощью прямого доступа;

позволяет обеспечивать Web-доступ (HTTP/HTTPS/FTP), не разрешая пользова телям доступ к другим протоколам;

позволяет осуществлять пользовательский/групповой контроль доступа для Web доступа;

поддерживает проверку подлинности RADIUS для исходящих запросов клиента Web-прокси;

позволяет ограничить количество исходящих соединений клиента Web-прокси;

поддерживает создание цепочек Web-прокси, которые могут ускорить доступ к Интернету.

Улучшенная производительность конфигурации клиента брандмауэра и клиента SecureNAT для обеспечения Web-доступа Компьютеры клиента Web-прокси взаимодействуют с брандмауэром ISA Server напрямую через фильтр Web-прокси брандмауэра. Клиент Web-прокси устанавли вает прямое соединение с портом TCP 8080 на брандмауэре ISA Server 2004. Порт TCP 8080 используется приемником Web-прокси брандмауэра ISA Server 2004. При емник прослушивает исходящие Web-запросы, а затем применяет к этим соедине ниям политики доступа брандмауэра. Это повышает производительность, потому что соединения с клиентов брандмауэра и SecureNAT должны передаваться на фильтр Web-прокси вместо того, чтобы фильтр получал их напрямую. В процессе тести рования становится ясно, что компьютеры клиента Web-прокси получают доступ к Web-содержимому заметно быстрее.

410 ГЛАВА Способность использования сценария автоматического конфигурирования, чтобы обходить сайты с помощью прямого доступа Одна из наиболее полезных функций конфигурации клиента Web-прокси состоит в ее способности использовать прямой доступ для того, чтобы обходить фильтр Web прокси для выбранных Web-сайтов. Предполагается, что компьютер клиента Web прокси настроен на использование сценария автоматического конфигурирования.

Существуют два способа настройки клиента Web-прокси для использования сце нария автоматического конфигурирования:

ручная настройка клиента на использование сценария автоматического конфи гурирования;

настройка WPAD-записей в DNS и/или DHCP и настройка клиента Web-прокси на использование автоматического обнаружения для получения доступа к кон фигурационной информации;

Можно вручную настроить браузер клиента Web-прокси на использование сце нария автоматического конфигурирования. Любое приложение, которое извлека ет свою конфигурацию из настроек Web-браузера, также может воспользоваться преимуществом сценария автоматического конфигурирования. Приложения, кото рые не извлекают свою конфигурацию из Web-браузера, вряд ли могут воспользо ваться настройками сценария автоматического конфигурирования.

Более эффективный метод применения сценария автоматического конфигури рования к клиентам Web-прокси состоит в том, чтобы использовать WPAD-заииси a DNS и/или DHCP. Информация из WPAD-записей указывает клиенту Web-прокси на IP-адрес брандмауэра ISA Server 2004, с которого клиент Web-прокси получает настройки автоматического конфигурирования.

Поддержка сценария автоматического конфигурирования очень важна для тех клиентов Web-прокси, которые хотят получить доступ к определенным узлам Java и также к электронной почте Hotmail. Автоматическое конфигурирование обеспе чивает централизованный список Web-сайтов, к которым можно получить доступ с помощью Direct Access (прямой доступ). Когда эти сайты настроены на прямой доступ, компьютер клиента Web-прокси будет использовать не фильтр Web-прокси, а другие методы, например конфигурацию клиента SecureNAT или брандмауэра для установки соединения с этим Web-сайтом.

Возможность обеспечения Web-доступа (HTTP/HTTPS/FTP) без разрешения пользователям доступа к другим протоколам Конфигурация клиента Web-прокси позволяет предоставлять доступ к Интернету пользователям, которым не требуется весь набор протоколов Интернета для уста новления соединения с ним. Клиент Web-прокси поддерживает только протоколы HTTP, HTTPS (SSL/TLS-over-HTTP) и FTP-загрузки по HTTP-туннелю. Если компью Типы клиентов ISA Server 2004 и автоматизация настройки клиентов тер пользователя настроен только как клиент Web-прокси, то пользователь этого компьютера имеет доступ только к этим протоколам.

Клиенты Web-прокси используют туннельное соединение, когда они отправля ют свои интернет-запросы на брандмауэр ISA Server 2004. Например, когда пользо ватель отправляет запрос к сайту www.microsoft.com, клиент Web-прокси добав ляет к этому запросу еще один HTTP-заголовок, в котором в качестве адреса на значения указан внутренний интерфейс компьютера брандмауэра ISA Server 2004, а в качестве порта назначения — порт TCP 8080. Когда брандмауэр ISA Server получает этот запрос, он отбрасывает заголовок клиента Web-прокси и перена правляет запрос на сервер www.microsoft.com в Интернете.

Точно так же, когда клиент Web-прокси отправляет FTP-запрос на узел типа ftp:// ftp.microsoft.com, клиент Web-прокси добавляет к этому FTP-запросу такой же HTTP-заголовок, в котором в качестве адреса назначения указан внутренний ин терфейс брандмауэра ISA Server 2004, а в качестве порта назначения — порт TCP 8080. Когда брандмауэр ISA Server 2004 получает этот запрос, он удаляет НТТР-за головок и перенаправляет запрос на FTP-сервер ftp.microsoft.com в виде FTP-за проса, а не HTTP-запроса. Поэтому поддержка протокола FTP клиентом Web-про кси обозначается как поддержка FTP по НТТР-туннелю.

ПРИМЕЧАНИЕ При использовании клиента Web прокси для FTP-соединений клиент Web-прокси может выполнить только загрузку по протоколу FTP. Для того чтобы клиентский компьютер мог поддерживать размещение данных по протоколу FTP, он должен быть настроен как клиент SecureNAT или клиент брандмауэра.

Возможность осуществления пользовательского/группового контроля доступа для Web-доступа Клиент Web-прокси способен отправлять верительные данные пользователя на компьютер брандмауэра ISA Server 2004, только когда это необходимо, в отличие от клиента брандмауэра, который отправляет верительные данные пользователя на брандмауэр ISA Server 2004 всегда. Это улучшает производительность, т. к. провер ка подлинности выполняется только по требованию. Если клиент Web-прокси имеет доступ к правилу доступа, которое разрешает доступ к сайту и содержимому, ука занному в запросе, и если это правило доступа разрешает анонимный доступ (раз решает доступ к этому правилу для всех пользователей), то клиент Web-прокси не отправляет верительные данные и соединение разрешается.

Эта функция объясняет большое количество анонимных записей, появившихся в системных журналах брандмауэра. Когда клиент Web-прокси отправляет запрос на брандмауэр ISA Server 2004, первая попытка соединения не включает в себя верительные данные пользователя клиента Web-прокси. Этот запрос обрабатыва ется как анонимный. Если доступ к узлу предполагает предъявление верительных 412 ГЛАВА данных пользователя, то брандмауэр ISA Server 2004 отправит сообщение «access denied» (доступ запрещен) на компьютер клиента Web-прокси и потребует проверки подлинности пользователя. Как показано на рис. 5.21, в данной ситуации клиент Web-прокси может пройти проверку подлинности, используя ряд различных про токолов проверки подлинности.

Для сеанса Web-прокси можно использовать следующие протоколы проверки ПОДЛИННОСТИ:

интегрированный протокол проверки подлинности Windows;

протокол базовой проверки подлинности;

протокол проверки подлинности Digest;

протокол проверки подлинности клиентских сертификатов;

протокол проверки подлинности RADIUS.

ПРЕДУПРЕЖДЕНИЕ Web-браузеры могут использовать интегрированную, базовую проверку подлинности, проверку подлинности Digest, RADIUS и кли ентских сертификатов. Важно отметить, что Web-браузеры могут использо вать только проверку подлинности клиентских сертификатов при установке соединения с опубликованными ресурсами по правилу Web-публикации. Кли енты Web-браузера, выступающие в роли клиентов Web-прокси, не могут использовать проверку подлинности клиентских сертификатов при получении доступа к ресурсам через брандмауэр ISA Server 2004 по правилу доступа.

Рис. 5.21. Диалоговое окно проверки подлинности Верительные данные передаются на брандмауэр ISA Server 2004 в прозрачном режиме, если включена интегрированная проверка подлинности. Однако и бранд мауэр ISA Server 2004, и клиент Web-прокси должны быть членами одного домена, Типы клиентов ISA Server 2004 и автоматизация настройки клиентов или же брандмауэр ISA Server 2004 должен использовать проверку подлинности RADIUS для того, чтобы установить соединение с Active Directory или базой дан ных учетных записей пользователей Windows NT 4.0. Добиться прозрачной про верки подлинности можно также, если зеркально отобразить учетные записи пользо вателей в локальный SAM на компьютере брандмауэра ISA Server 2004. Однако для всех более-менее крупных организаций административные трудозатраты и риск от зеркального отображения учетных записей пользователей могут быть неоправ данно большими.

Проверка подлинности по SSL-сертификатам в настоящее время недоступна для браузера для соединений сервера Web-прокси. Проверку подлинности по SSL-сер тификатам можно использовать при настройке создания цепочек Web-прокси.

В таком случае нижестоящий сервер Web-прокси перенаправляет Web-запросы на вышестоящий сервер Web-прокси. Нижестоящий сервер Web-прокси ISA Server может пройти проверку подлинности на вышестоящем сервере, представив ему клиентский сертификат. Благодаря этому конфигурация цепочки Web-прокси ста новится очень защищенной. При использовании других решений Web-прокси не так просто добиться такого же результата.

Имя пользователя и пароль пользователи должны вводить, только если исполь зуется базовая проверка подлинности. Если клиент Web-прокси и брандмауэр ISA Server 2004 не являются членами одного домена или не используется служба про верки подлинности RADIUS, то базовая проверка подлинности является наилучшим вариантом.

Новая функция ISA Server 2004 — способность использовать RADIUS для про верки подлинности Web-прокси. Когда RADIUS используется в качестве протокола проверки подлинности для клиентов Web-прокси, брандмауэр ISA Server 2004 не должен быть членом домена пользователя. Это обеспечивает немного более высо кий уровень безопасности, потому что атакующий, которому удалось завладеть уп равлением брандмауэром ISA Server 2004, не сможет использовать доменные вери тельные данные, чтобы атаковать пользователей в защищенной сети брандмауэра ISA Server 2004. Когда пользователь домена пытается пройти проверку подлинности для установления соединения с Интернетом, брандмауэр ISA Server 2004, который не является членом домена пользователя, перенаправляет запрос на проверку подлинности на сервер RADIUS во внутренней сети. Сервер RADIUS перена-прав ляет запрос на сервер проверки подлинности, а затем возвращает ответ на бранд мауэр ISA Server 2004.

Следует обратить внимание, что при настройке брандмауэра ISA Server 2004 для поддержки проверки подлинности RADIUS брандмауэр становится клиентом RADIUS.

Можно использовать любой сервер RADIUS, включая реализацию службы RADIUS от Microsoft — сервер IAS (Internet Authentication Server, сервер проверки подлин ности для Интернета).

414 ГЛАВА Проверка подлинности RADIUS не требует создания сервера RADIUS во внутрен ней сети и настройки приемника Web-прокси для сети клиента Web-прокси на использование сервера RADIUS. Кроме того, должно иметься правило доступа, раз решающее брандмауэру ISA Server 2004 взаимодействовать с сервером RADIUS по протоколу RADIUS. Существует стандартная системная политика брандмауэра, раз решающая сообщения от службы RADIUS во внутреннюю сеть. Если сервер RADIUS не расположен во внутренней сети, то нужно настроить системную политику бранд мауэра, чтобы разрешить протокол RADIUS к серверу RADIUS в другом месте.

Далее в этой главе рассматриваются методики создания сервера RADIUS и на стройки клиента RADIUS. Для обеспечения поддержки клиентов Web-прокси необ ходимо выполнить следующие действия:

настроить приемник исходящих Web-запросов на использование проверки подлинности RADIUS;

настроить учетную запись пользователя для разрешения удаленного доступа (Remote Access Permission) или настроить политики удаленного доступа для разрешения доступа;

настроить политику удаленного доступа для поддержки проверки подлиннос ти по протоколу PAP (Password Authentication Protocol, протокол аутентифика ции пароля).

Для того чтобы настроить приемник Web-прокси в сети клиента Web-прокси на использование RADIUS, нужно сделать следующее:

1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера, а затем разверните узел Configuration (Конфи гурация). Щелкните узел Networks (Сети) и правой кнопкой мыши щелкните Internal network (Внутренняя сеть) (при условии, что клиенты Web-прокси рас положены во внутренней сети). Щелкните Properties (Свойства).

2. В диалоговом окне Internal Properties (Внутренние свойства) щелкните вкладку Web Proxy (Web-прокси).

3. На вкладке Web Proxy (Web-прокси) щелкните кнопку Authentication (Про верка ПОДЛИННОСТИ), 4. В диалоговом окне Authentication (Проверка подлинности) снимите флажки во всех полях. Появятся диалоговое окна, сообщающие о том, что других мето дов проверки подлинности нет в наличии. Подтвердите, что выбран только ва риант RADIUS (рис. 5.22).

5. Щелкните RADIUS Servers (Серверы RADIUS).

6. В диалоговом окне Add RADIUS Server (Добавить сервер RADIUS) (рис. 5.23) вве дите имя или IP-адрес для сервера RADIUS в текстовое поле Server name (Имя сервера). Введенное имя должно быть FQDN-именем, и брандмауэр ISA Server должен быть способен разрешить это имя в правильный IP-адрес. Введите опи сание сервера в текстовое поле Server description (Описание сервера). Оставьте в полях Port (Порт) и Time-out (seconds) (Тайм-аут, секунды) значения по умол Типы клиентов ISA Server 2004 и автоматизация настройки клиентов чанию, если нет причин их менять. Установите флажок в поле Always use message authenticator (Всегда использовать удостоверения сообщений).

Рис. 5.22. Диалоговое окно Authentication (Проверка подлинности) Рис. 5.23. Диалоговое окно Add RADIUS Server (Добавить сервер RADIUS) 7. Щелкните Change (Изменить).

8. В диалоговом окне Shared Secret (Общий пароль) введите и подтвердите па роль в текстовые поля New secret (Новый пароль) и Confirm new secret (Под твердить новый пароль). Этот пароль используется для проверки подлинности сервера RADIUS и клиента RADIUS. Это должен быть тот же пароль, что исполь зовался при настройке клиента RADIUS на сервере RADIUS для внутренней сети.


416 ГЛАВА Щелкните ОК. (Обратите внимание: пароль RADIUS должен быть длинным и сложным;

в идеале пароль RADIUS должен состоять из 24 символов, и он созда ется с помощью приложения генерации паролей.) 9. Щелкните ОК в диалоговом окне Add RADIUS Server (Добавить сервер RADIUS).

10. Теперь в списке появится запись для сервера RADIUS. Можно создать несколько серверов RADIUS, в списке они будут располагаться друг за другом.

11. Щелкните ОК в диалоговом окне Authentication (Проверка подлинности).

12. Щелкните Apply (Применить) и ОК в диалоговом окне Internal Properties (Внутренние свойства).

13- Щелкните Apply (Применить), чтобы сохранить изменения и обновить поли тику брандмауэра.

14. Щелкните ОК в диалоговом окне Apply New Configuration (Применить новую конфигурацию).

Теперь нужно настроить учетную запись пользователя, чтобы разрешить соеди нение через телефонную линию. Эта процедура не требуется, если домен находится в автономном режиме Windows 2000 или Windows Server 2003. Это объясняется тем, что политику доступа можно контролировать с помощью политики удаленного доступа, а стандартная настройка для учетных записей контролирует доступ посред ством политики удаленного доступа, когда домен находится в автономном режи ме. Поэтому настоятельно рекомендуется включить автономный режим для доме нов Windows для того, чтобы не нужно было настраивать каждую учетную запись пользователя на применение соединения через телефонную линию.

1. В консоли Active Directory Users and Computers (Пользователи и компьюте ры Active Directory) на контроллере домена, содержащем учетные записи пользо вателей, которые должны проходить проверку подлинности с помощью служ бы RADIUS, дважды щелкните учетную запись, для которой необходимо разре шить проверку подлинности RADIUS.

2. В диалоговом окне Properties (Свойства) для пользователя щелкните вкладку Dial-in (Соединение через телефонную линию).

3. На вкладке Dial-in (Соединение через телефонную линию) выберите вариант Allow access (Разрешить доступ).

4. Щелкните Apply (Применить), а затем ОК.

Теперь учетная запись пользователя будет использовать службу RADIUS для про верки подлинности Web-прокси.

Наконец, нужно настроить политику удаленного доступа так, чтобы для провер ки подлинности RADIUS клиента Web-прокси поддерживался протокол PAR Важно отметить, что проверка подлинности по протоколу РАР не является безопасной, и нужно использовать методы защиты верительных данных, передаваемых между бранд мауэром ISA Server 2004 и сервером RADIUS. Предпочтительный метод защиты ве рительных данных состоит в применении соединения в транспортном режиме IPSec.

Типы клиентов ISA Server 2004 и автоматизация настройки клиентов Для настройки политики удаленного доступа выполните следующее:

1. На IAS-сервере (Internet Authentication Server, сервер аутентификации Интер нета) во внутренней сети щелкните Start (Пуск) и выберите Administrative Tools (Панель управления). Щелкните Internet Authentication Services (Службы про верки подлинности Интернет).

2. В консоли Internet Authentication Services (Службы проверки подлинности Интернет) щелкните узел Remote Access Policies (Политики удаленного до ступа) на левой панели консоли.

3. В узле Remote Access Policies (Политики удаленного доступа) на правой па нели консоли размещаются две политики удаленного доступа. Первая полити ка применяется только к RAS-соединениям от коммутируемых и VPN-клиентов.

Вторая политика, Connections to other access servers (Соединения с други ми серверами доступа), используется клиентами Web-прокси. Дважды щелкни те вторую политику.

4. В диалоговом окне Connections to other access servers Properties (Свойства соединений с другими серверами доступа) щелкните Edit Profile (Редактиро вать профиль).

5. В диалоговом окне Edit Dial-in Profile (Изменить профиль набора) щелкните вкладку Authentication (Проверка подлинности).

6. На вкладке Authentication (Проверка подлинности) установите флажок в поле Unencrypted authentication (PAP, SPAP) (Незашифрованная проверка подлин ности, PAP, SPAP).

7. Щелкните Apply (Применить) и ОК.

Рис. 5.24. Диалоговое окно Connections to other Access Servers Properties (Свойства соединений с другими серверами доступа) 418 ГЛАВА 8. В диалоговом окне Connections to other access servers Properties (Свойства соединений с другими серверами доступа) (рис. 5.24) проверьте, что добавлена запись Windows-Groups matches..., включающая группы пользователей, которые будут получать доступ к службе Web-прокси после прохождения проверки под линности RADIUS. Используйте кнопку Add (Добавить), чтобы добавить группу.

Также должен быть выбран вариант Grant remote access permission (Разре шить удаленный доступ).

9- Щелкните Apply (Применить) и ОК в диалоговом окне Connections to other access server Properties (Свойства соединений с другими серверами доступа).

Эта политика сразу же вступит в силу, никакое оборудование перезапускать не нужно.

Возможность ограничения количества исходящих соединений клиента Web-прокси Количество соединений клиента Web-прокси может быть ограничено определен ным числом. Это может оказаться полезным, если пропускная способность огра ничена или нужно сделать так, чтобы лишь определенное количество пользовате лей получало доступ к Интернету одновременно.

Установить значение количества одновременных соединений клиента Web-про кси можно в диалоговом окне Properties (Свойства) сети, из которой клиенты Web прокси получают доступ к Интернету. В панели управления Microsoft Internet Security and Acceleration Server 2004 разверните имя сервера, а затем развер ните узел Configuration (Конфигурация). Щелкните узел Networks (Сети) в ле вой панели консоли и правой кнопкой мыши щелкните сеть на панели Details (Под робно). Щелкните команду Properties (Свойства).

В диалоговом окне Properties (Свойства) сети щелкните вкладку Web Proxy (Web-прокси). На вкладке Web Proxy (Web-прокси) щелкните Advanced (Расши ренные). В диалоговом окне Advanced Settings (Расширенные настройки) (рис. 5.25) можно выбрать один из вариантов: Unlimited (Неограниченное) и Maximum (Максимальное). При выборе варианта Maximum (Максимальное) можно ввести значение максимального количества одновременных соединений. Имеется также значение Connection timeout (seconds) (Тайм-аут соединения, секунды), которое тоже можно изменить. По умолчанию установлено 120 секунд. Можно умень шить или увеличить это значение по своему желанию. Если окажется, что незаня тые соединения сокращают количество разрешенных одновременных соединений, то можно уменьшить значение тайм-аута. Если же пользователи жалуются на то, что сеансы работы в Интернете слишком быстро прерываются, можно увеличить зна чение тайм-аута.

Типы клиентов ISA Server 2004 и автоматизация настройки клиентов Рис. 5.25. Диалоговое окно Advanced Settings (Расширенные настройки) Поддержка создания цепочек Web-прокси, которые могут ускорить доступ к Интернету Создание цепочек Web-прокси позволяет соединить ISA Server 2004, брандмауэр ISA Server 2004 и серверы Web-прокси друг с другом. Соединение брандмауэра ISA Server 2004 и серверов Web-прокси представляет собой цепочку, в которой сервер Web прокси, наиболее удаленный от центральной точки доступа в Интернет, является наиболее «нижестоящим» (downstream) сервером Web-прокси и брандмауэра, а брандмауэр ISA Server 2004 и сервер Web-прокси, ближайший к центральному со единению с Интернетом, является самым «вышестоящим» (upstream) сервером Web прокси брандмауэра ISA Server 2004.

Создание цепочек Web-прокси применяется в нескольких случаях:

если филиалы соединяются с сервером брандмауэра Web-прокси ISA Server главного офиса;

в университетских сетях, состоящих из нескольких ЛВС рабочих групп/отделе ний, соединенных с серверами Web-прокси брандмауэра ISA Server 2004, рас положенными выше в основной сети университета или сети служб;

в конфигурациях брандмауэра ISA Server 2004 с последовательным подключе нием (back-to-back), когда нижестоящий брандмауэр ISA Server 2004 использу ет цепочку Web-прокси, чтобы перенаправлять запросы Web-прокси из корпо ративной сети на внешний брандмауэр ISA Server 2004. Такая конфигурация повышает и без того хорошую защиту конфигурации брандмауэра ISA Server с последовательным подключением.

Эти конфигурации более подробно рассматриваются в главе 10.

Конфигурирование ISA Server 2004 с клиентами разных типов Многие администраторы брандмауэра ISA считают, что отдельный компьютер нельзя настроить одновременно в качестве клиента Web-прокси, клиента брандмауэра и 420 ГЛАВА клиента SecureNAT. Это заблуждение. Возможно, а иногда и предпочтительно на страивать на одном компьютере все три типа клиентов ISA.

Другое дело, что один компьютер нельзя настроить так, чтобы он выступал в роли клиента брандмауэра и клиента SecureNAT. Это объясняется тем, что когда компь ютер настроен как клиент брандмауэра, все взаимодействия по протоколам Winsock TCP и UDP перехватываются программным обеспечением клиента брандмауэра.

Поэтому у клиента SecureNAT нет доступа к этим соединениям. Для других соеди нений и для всех соединений не по протоколам TCP и UDP клиент SecureNAT бу дет выполнять обработку запросов. Например, если компьютер настроен как кли ент SecureNAT и как клиент брандмауэра одновременно, конфигурация клиента SecureNAT обрабатывает все соединения ping, tracert и РРТР. Утилиты Ping и tracert используют протокол ICMP, а РРТР использует GRE. Ни ICMP, ни GRE не использу ют в качестве транспортных протоколов TCP или UDP.


В табл. 5.7 представлено поведение компьютеров, на которых настроено несколь ко типов клиентов.

Табл. 5.7. Работа приложений на компьютерах с установленными клиентами разных типов Конфигурация Работа приложения клиентов на брандмауэре ISA Server Клиент Secure NAT и клиент Клиент брандмауэра обрабатывает все соединения по протоколам TCP и UDP от приложений на базе Winsock.

брандмауэра Клиент SecureNAT обрабатывает все соединения по про токолам TCP/UDP от других приложений и все соедине ния не по протоколам TCP/UDP Клиент Web-прокси обрабатывает все соединения по про Клиент SecureNAT и токолам HTTP/HTTPS/FTP (по протоколу ПТ только ска клиент Web-прокси чивание) от приложений клиента Web-прокси. От других приложений клиент SecureNAT обрабатывает соединения по протоколам HTTP/HTTPS/FTP (как скачивание, так и закачивание). Если браузер, настроенный как клиент Web-прокси, не способен получить доступ к ресурсам по протоколу FTP, то будет использоваться конфигурация клиента SecureNAT, Все остальные протоколы обрабаты ваются конфигурацией клиента SecureNAT Клиент Web-прокси обрабатывает все соединения по Клиент брандмауэра и протоколам HTTP/HTTPS/FTP (только скачивание) от при клиент Web-прокси ложений клиента Web-прокси. Клиент брандмауэра обра батывает все остальные соединения по протоколам Win sock TCP и UDP, включая протоколы HTTP/HTTPS/FTP (скачивание и закачивание) от приложений, не настроен ных как клиенты Web-прокси. Скачивание по протоколу РГР от клиентов Web-прокси может обрабатываться кон фигурацией клиента брандмауэра. Для приложений не на базе Winsock нет доступа к протоколам TCP и UDP и к другим протоколам, отличным от TCP и UDP Типы клиентов ISA Server 2004 и автоматизация настройки клиентов Табл. 5.7. (окончание) Конфигурация Работа приложения клиентов на брандмауэре ISA Server Клиент SecureNAT, клиент Имеется доступ к протоколам HTTP/HTTPS/FTP (скачива брандмауэра и клиент ние) посредством конфигурации клиента Web-прокси для Web-прокси приложений, настроенных как клиенты Web-прокси. Для скачивания по протоколу FTP, если конфигурация клиен та Web-прокси не поддерживает соединение, использует ся клиент брандмауэра. Все соединения по протоколам TCP/UDP от приложений на базе Winsock обрабатывают ся клиентом брандмауэра. Все остальные соединения об рабатываются конфигурацией клиента SecureNAT Выбор типа клиента ISA Server Выбор типа клиента ISA Server 2004 зависит от необходимого уровня функциональ ности и защиты (см. табл. 5.8) приводится оценка различных клиентов ISA Server 2004 на основании уровня их функциональности, безопасности и простоты в при менении и управлении, а также совместимости с операционной системой.

Табл. 5.8. Оценка безопасности, функциональности, простоты в применении и совместимости различных типов клиента ISA Server Уровень Уровень Простота Совместимость функциональности безопасности в применении с операционной и управлении системой Клиент брандмауэра Клиент брандмауэра Клиент SecureNAT Клиент SecureNAT Клиент SecureNAT Клиент Web-прокси Клиент Web-прокси Клиент Web-прокси Клиент Web-прокси Клиент SecureNAT Клиент брандмауэра Клиент брандмауэра В табл. 5.9 представлен ряд параметров, которые следует учитывать при выборе типа клиента ISA Server 2004 Табл. 5.9. Выбор подходящего типа клиента ISA Server Требование Подходящий тип клиента ISA Server Не применять для сете- Клиент SecureNAT и клиент Web-прокси. Клиент SecureNAT вых клиентов никакое не предполагает установку программного обеспечения, нуж специальное програм- но лишь задать правильный адрес основного шлюза. Клиент мное обеспечение Web-прокси также не предполагает установку клиентского программного обеспечения. Нужно лишь настроить приложе ния Web-прокси на использование брандмауэра в качестве их сервера Web-прокси (см. след. стр.) 422 ГЛАВА Табл. 5.9. (продолжение) Подходящий тип клиента ISA Server Требование Клиент Web-прокси или клиент SecureNAT. Оба эти типа кли Использование только про ента способны использовать кэш Web-прокси на брандмауэре токолов Интернета HTTP, ISA Server 2004. Преимущество использования клиента Web HTTPS и FTP для скачива прокси по сравнению с клиентом SecureNAT в этом случае со ния через Web-браузер и стоит в том, что клиент Web-прокси отправляет информацию другие приложения, рабо о пользователе на брандмауэр ISA Server 2004 и поддерживает тающие с Web-прокси, з жесткий контроль пользовательского/группового доступа и также поддержка Web доступа пользователей в Интернет кэширования Клиент брандмауэра или клиент Web-прокси. Клиент Web Проверка подлинности до прокси позволяет осуществлять жесткий контроль пользова разрешения доступа. Имя тельского/группового доступа для соединений по протоколам пользователя включается в HTTP/HTTPS/FTP (скачивание) через приложения клиента журналы Web-про кс и. Клиент брандмауэра позволяет контролировать пользовательский/групповой доступ для всех приложений на базе Winsock по протоколам TCP и UDP. Всякий раз, когда пользователь проходит проверку подлинности ш брандмауэре ISA Server 2004, имя этого пользователя включается в сис темный журнал Клиент SecureNAT или любой клиент, не являющийся клиен Публикация серверов в том ISA Server 2004. Опубликованный сервер должен быть на Интернете с помощью строен как клиент SecureNAT, если исходный IP-адрес клиента правил Web-публикации или публикации серверов из Интернета сохраняется в соединении, устанавливаемом с опубликованным сервером. Это стандартная конфигурация для правил публикации серверов. Для правил Web-публикации по умолчанию нужно заменить исходный IP-адрес клиента на IP адрес внутреннего-интерфейса брандмауэра ISA Server (интерфейса, который находится в той же сети, что и опубли кованный сервер). Когда исходный IP-адрес источника заме няется на IP-адрес брандмауэра ISA Server 2004, опубликован ный сервер должен знать только маршрут к внутреннему IP адресу брандмауэра ISA Server 2004, который перенаправил запрос. Для правил Web-публикации и публикации серверов имеется возможность сохранить исходный IP-адрес клиента Поддержка операционных Клиент SecureNAT и клиент Web-прокси. Все операционные систем сторонних произ- системы поддерживают конфигурацию клиента SecureNAT, потому что клиент SecureNAT требует только установки пра водителей вильного адреса основного шлюза. Все операционные систе мы, работающие с приложениями, поддерживающими конфи гурацию клиента Web-прокси, могут соединяться с брандмау эром ISA Server 2004 посредством конфигурации клиента Web-прокси Поддержка интернет-игр Клиент брандмауэра. Большинство интернет-игр предполага ет несколько первичных и вторичных соединений. Только клиент брандмауэра поддерживает сложные протоколы, кото рые требуют вторичных соединений (при условии, что на брандмауэре ISA Server 2004 не установлен фильтр приложе ния, который поддерживает это приложение) Типы клиентов ISA Server 2004 и автоматизация настройки клиентов Табл. 5.9. (окончание) Требование Подходящий тип клиента ISA Server Поддержка голосовых/ Голосовые/видеоприложения, которые не требуют протокол видеоприложений SIP, обычно предполагают установку вторичных соединений (ISA Server 2004 не поддерживает передачу сигналов SIP).

Только клиент брандмауэра поддерживает вторичные соеди нения без помощи фильтра приложения Автоматизация инициализации клиента ISA Server Существует несколько методов автоматизации конфигурирования клиента Web прокси и клиента брандмауэра:

настройка DHCP-серверов для поддержки автоматического обнаружения кли ента Web-прокси и клиента брандмауэра;

настройка DNS-серверов для поддержки автоматического обнаружения клиен та Web-прокси и клиента брандмауэра;

автоматизация конфигурирования клиента Web-прокси с помощью групповой ПОЛИТИКИ;

автоматизация конфигурирования клиента Web-прокси с помощью набора ин струментальных средств IEAK для Internet Explorer.

В следующих разделах обсуждается, как автоматизировать конфигурирование клиентов Web-прокси и брандмауэра с помощью протокола WPAD и групповой политики Active Directory. В этой книге не приводится подробное описание того, как использовать набор инструментальных средств IEAK (Internet Explorer Administra tion Kit, инструментальные средства администрирования Internet Explorer) для ав томатизации конфигурирования клиента Web-прокси.

Существуют два основных метода поддержки автоматического обнаружения для клиентов Web-прокси и клиента брандмауэра: DNS и DHCP. В табл. 5.10 представле на информация, которая поможет выбрать наиболее подходящий из этих методов.

Табл. 5.10. Поддержка DNS и DHCP для автоматического обнаружения клиента Web прокси и брандмауэра DHCP DNS Клиент должен быть клиентом DHCP Клиент должен быть способен разрешать DNS-имена во внутренней сети Требуется Internet Explorer 5.0 и выше Требуется Internet Explorer 5.0 и выше Должен быть способен отправлять Должен быть способен правильно квалифици DHCPINFORM-запросы ровать имя WPAD с доменным именем, чтобы (только для Windows 2000, Windows XP получить FQDN-имя, которое разрешается и Windows Server 2003) во внутренний IP-адрес брандмауэра ISA Server (см. след. стр.) 424 ГЛАВА Табл. 5.10. (окончание) DHCP DNS Пользователь должен выполнить вход Каждый домен должен быть настроен со своей в систему как локальный администратор WPAD-записью Брандмауэр ISA Server 2004 может Брандмауэр ISA Server 2004 должен публико публиковать информацию об автомати- вать информацию об автоматическом обнару ческом обнаружении на любом доступ- жении на порте TCP ном порте Каждый DHCP-сервер должен быть Каждый DNS-сервер должен быть настроен настроен с WPAD-записью с WPAD-записью. В филиалах может потребо ваться специальное конфигурирование, чтобы клиенты филиала не использовали WPAD запись, указывающую на брандмауэры ISA Server 2004 в главном офисе ПРИМЕЧАНИЕ Более подробная информация о протоколе WPAD (Web Proxy Auto discover y Protocol) представлена в справочном файле ISA Server по адресу: www.microsoft.com/technet/treeview/ default.asp?url=/techn9t/ prodtechnol/isa/ roddocs/isadocs/CMT_AutoDetect.asp Более подробная информация о конфигурировании IEAK для автоматизации конфигуриро вания клиента Web-прокси приводится в главе 26 «Using Automatic Configura tion, Automatic Proxy, and Automatic Detection» (Использование автоматичес кого конфигурирования, автоматического прокси и автоматического обна ружения) на сайте: www.microsoft.com/resources/documentation/ie/6/all/res kit/en-us/pa rt6/c26ie6rk.mspx.

Настройка DHCP-серверов для поддержки автоматического обнаружения клиента Web-прокси и клиента брандмауэра Клиенты DHCP могут получать информацию об автоматическом конфигурирова нии с компьютера брандмауэра ISA Server 2004, используя информационные со общения DHCP. Клиент брандмауэра и программное обеспечение Web-браузера могут создавать информационные сообщения DHCP, в которых у DHCP-сервера запрашивается адрес компьютера, содержащего информацию об автоматическом конфигурировании. DHCP-сервер возвращает адрес этого компьютера, а клиент брандмауэра или программное обеспечение Web-браузера запрашивает автомати ческое конфигурирование с полученных адресов.

DHCP-сервер использует специальный вариант DHCP для предоставления этой информации. Для получения информации об автоматическом конфигурировании с помощью WDAD выполняют следующие этапы:

установка DHCP-сервера;

создание диапазона действия DHCP;

Типы клиентов ISA Server 2004 и автоматизация настройки клиентов создание варианта диапазона действия DHCP 252;

настройка клиента в качестве DHCP-клиента;

настройка клиентского браузера на использование автоматического обнаружения;

настройка брандмауэра ISA Server 2004 на публикацию информации об авто матическом обнаружении;

установка соединения.

Установка DHCP-сервера Процедуры установки DHCP-сервера рассматривались в главе 4.

Создание диапазона действия DHCP Диапазон действия DHCP - это набор IP-адресов, которые могут использоваться DHCP-сервером для присваивания адресов DHCP-клиентам в сети. Кроме того, ди апазон действия DHCP может включать дополнительные настройки TCP/IP, присва иваемые клиентам, которые называются DHCP-вариантами (DHCP options). DHCP варианты могут присваивать DHCP-клиентам различные настройки TCP/IP, напри мер адрес DNS-сервера, адрес WINS-сервера и первичное имя домена.

Для того чтобы активировать DHCP-сервер и создать диапазон действия DHCP, выполните следующие действия:

1. Щелкните Start (Пуск), выберите Administrative Tools (Администрирование), щелкните DHCP.

2. В левой панели консоли DHCP щелкните правой кнопкой мыши имя сервера.

Щелкните команду Authorize (Разрешить) (рис. 5.26).

Рис. 5.26. Расположение команды Authorize (Разрешить) 15 3ак. 426 ГЛАВА 3. Щелкните Refresh (Обновить) на линейке кнопок консоли. Значок слева от име ни сервера изменится: красная стрелка, направленная вниз, превратится в зеле ную стрелку, направленную вверх.

4. Правой кнопкой мыши щелкните еще раз имя сервера в левой панели консоли и щелкните команду New Scope (Новая область действия).

5. Щелкните Next (Далее) на странице Welcome to the New Scope Wizard (Вас приветствует мастер создания новой области действия).

6. Введите имя диапазона действия на странице Scope Name (Имя диапазона дей ствия). Это имя несет только описательную нагрузку и не влияет на функцио нальность диапазона действия. Также можно ввести описание диапазона дей ствия в поле Description (Описание). Щелкните Next (Далее).

7. Введите диапазон IP-адресов, которые могут присваиваться DHCP-клиентам, на странице IP Address Range (Диапазон IP-адресов). Введите первый адрес диапа зона в текстовое поле Start IP-address (Начальный IP-адрес) и последний IP-ад рес диапазона в текстовое поле End IP-address (Конечный IP-адрес). Введите маску подсети для диапазона IP-адресов в текстовое поле Subnet mask (Маска подсети).

8. В примере, показанном на рис. 5.27, внутренняя сеть имеет идентификатор сети 10.0.2/24. В диапазон действия DHCP будут включаться не все IP-адреса этого идентификатора сети, а лишь часть. Поэтому в этом примере в качестве началь ного IP-адреса в поле Start IP address (Начальный IP-адрес) указано значение 10.0.2.100, а в качестве конечного значения — 10.0.2.150 и использована 24-битная маска подсети. В производственных сетях часто лучше присвоить весь иденти фикатор сети диапазону IP-адресов, используемых в диапазоне действия. Затем можно задать исключения для хостов в сети, которые имеют статически при своенные IP-адреса, содержащиеся в этом диапазоне действия. Это позволяет централизованно управлять присвоением IP-адресов и конфигурированием с помощью DHCP. Щелкните Next (Далее).

Рис. 5.27. Настройка диапазона IP-адресов для диапазона действия DHCP Типы клиентов ISA Server 2004 и автоматизация настройки клиентов 9. Не вводите никакие исключения в диалоговом окне Add Exclusions (Добавить исключения). Щелкните Next (Далее).

] 0. Примите настройки по умолчанию на странице Lease Duration (Продолжитель ность владения) и щелкните Next (Далее).

11. На странице Configure DHCP Options (Настроить режимы DHCP) выберите Yes, I want to configure these options now (Да, я хочу настроить эти режимы сей час) и щелкните Next (Далее).

12. Ничего не вводите на странице Router (Default Gateway) (Маршрутизатор, ос новной шлюз). Если бы в сети использовался клиент SecureNAT, то на этой стра нице следовало бы ввести IP-адрес внутреннего интерфейса брандмауэра. Од нако в данной конфигурации используется только клиент Web-прокси и кли ент брандмауэра. Щелкните Next (Далее).

13- На странице Domain Name and DNS Servers (Имя домена и DNS-серверы) вве дите в поле Primary domain name (Первичное имя домена) первичное имя домена, которое будет присваиваться DHCP-клиентам, и в поле DNS server address (Адрес DNS-сервера) адрес DNS-сервера, который будут использовать DHCP-клиенты.

14. Первичное имя домена является важной настройкой для клиента брандмауэра и клиента Web-прокси. Для того чтобы автоматическое обнаружение выполня лось корректно для клиента брандмауэра и клиента Web-прокси, эти клиенты должны правильно полностью квалифицировать неполное имя WPAD. Более подробно этот вопрос рассматривается далее. В данном примере введите в тексто вое поле Parent domain (Родительский домен) msfirewall.org (рис. 5.28). Это поз воляет присвоить DHCP-клиентам первичное имя домена msfirewall.org, кото рое будет присоединено к неполным именам. Введите IP-адрес DNS-сервера в текстовое поле IP address. В этом примере IP-адрес DNS-сервера — 10.0.2.2. Щелк ните Add (Добавить) после ввода IP-адреса. Щелкните Next (Далее).

Рис. 5.28. Настройка основного имени домена для DHCP-клиентов 428 ГЛАВА 15.Не вводите адрес WINS-сервера на странице WINS Servers (WINS-серверы).

В этом примере не используется WINS-сервер. Однако WINS-серверы очень по лезны в среде VPN-сервера, если нужно разрешить VPN-клиентам просматри вать университетскую сеть с помощью приложения My Network Places (Сете вые подключения) или Network Neighborhood (Сетевое окружение). Щелкните Next (Далее).

16. На странице Activate Scope (Включить диапазон действия) выберите Yes, I want to activate this scope now (Да, я хочу включить этот диапазон действия сей час) и щелкните Next (Далее).

17. Щелкните Finish (Готово) на странице Completing the New Scope Wizard (За вершение работы мастера создания нового диапазона действия).

18.В правой панели консоли DHCP будут отображены два варианта DHCP, создан ные с помощью мастера (см. рис. 5-29).

Рис. 5.29. Просмотр вариантов диапазона действия Следующий шаг — создание варианта DHCP, который позволит DHCP-клиентам ав томатически обнаруживать настройки клиента Web-прокси и клиента брандмауэра.

Создание варианта диапазона действия DHCP и добавление его к области действия Вариант диапазона действия DHCP 252 может использоваться для автоматического конфигурирования клиентов Web-прокси и брандмауэра. Клиент Web-прокси или клиент брандмауэра должны быть настроены как DHCP-клиент, а пользователь, выполнивший вход в систему, должен быть членом группы локальных админист раторов или группы привилегированных пользователей (Power users group) (для Windows 2000). В системах на базе ОС Windows XP группа операторов настройки сети (Network Configuration Operators group) также имеет разрешение создавать DHCP-запросы (сообщения DHCPINFORM).

ПРИМЕЧАНИЕ Более подробная информация об ограничениях при исполь зовании DHCP для автоматического обнаружения совместно с Internet Explorer 6.0 представлена в Базе знаний Microsoft в статье под названием «Automatic Proxy Discovery in Internet Explorer with DHCP Requires Specific Permissions»

(Автоматическое обнаружение прокси в Internet Explorer с помощью DHCP требует особых полномочий) по адресу: http://support.microsoft.com/default.

aspx?scid=kb;

en-us;

312864.

Для создания специального варианта DHCP выполните следующие действия на DHCP-cepaepc:

Типы клиентов ISA Server 2004 и автоматизация настройки клиентов 1. Откройте консоль DHCP в меню Administrative Tools (Администрирование) и щелкните правой кнопкой мыши имя сервера в левой панели консоли. Щел кните команду Set Predefined Options (Установить предопределенные вари анты) (рис. 530).

Рис. 5.30. Выбор команды Set Predefined Options (Установить предопределенные варианты) 2. В диалоговом окне Predefined Options and Values (Предопределенные вари анты и значения) (рис. 5 3 1 ) щелкните Add (Добавить).

Рис. 5.31. Диалоговое окно Predefined Options and Values (Предопределенные варианты и значения) 3. В диалоговом окне Option Type (Тип варианта) (рис. 5.32) введите следующую информацию: D Name (имя): wpad D Data type (тип данных): String 430 ГЛАВА a Code (код): n Description (описание): wpad entry Щелкните ОК.



Pages:     | 1 |   ...   | 11 | 12 || 14 | 15 |   ...   | 30 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.